AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nueva amenaza cibercriminal: grupo emergente diversifica ataques con ransomware multihilo y multiplataforma**

admin

### Introducción

Durante el primer semestre de 2024, los equipos de respuesta a incidentes y los analistas de inteligencia de amenazas han detectado la consolidación de un nuevo grupo cibercriminal cuya actividad se ha centrado inicialmente en el despliegue de ransomware dirigido a sistemas Microsoft Windows. Sin embargo, recientes investigaciones reflejan un giro estratégico: el grupo ha comenzado el desarrollo y despliegue de variantes de su malware capaces de operar en entornos multiplataforma, utilizando técnicas avanzadas de cifrado multihilo para maximizar la eficiencia y el daño potencial de sus campañas.

### Contexto del Incidente o Vulnerabilidad

El grupo, aún sin una denominación formal reconocida por la comunidad de inteligencia, ha irrumpido en el ecosistema del ransomware aprovechando la saturación de los modelos RaaS (Ransomware-as-a-Service) y apostando por la especialización técnica. Sus primeras operaciones, documentadas a partir de enero de 2024, se centraron en la explotación de sistemas Windows mediante vectores clásicos como spear phishing, explotación de vulnerabilidades sin parchear (principalmente en servicios RDP expuestos) y la distribución a través de kits de exploits comerciales. Sin embargo, a partir de abril de este año, se han identificado variantes de su malware con soporte para sistemas Linux y, en menor medida, macOS.

### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

El malware del grupo emplea técnicas de cifrado multihilo, lo que le permite acelerar el proceso de cifrado de archivos en sistemas con múltiples núcleos, reduciendo el tiempo de reacción de los equipos de seguridad y minimizando las posibilidades de detección y respuesta. El análisis forense ha detectado el uso de algoritmos de cifrado híbridos (AES-256 para el cifrado de archivos, combinado con RSA-4096 para la gestión de claves), implementados mediante librerías nativas y adaptadas para cada sistema operativo.

– **Vectores de ataque**:
– Phishing con adjuntos maliciosos y enlaces a payloads ofuscados.
– Explotación de vulnerabilidades conocidas en servicios RDP y VPN (por ejemplo, CVE-2023-28252, CVE-2024-21412).
– Movilidad lateral mediante credenciales robadas y técnicas de Pass-the-Hash (T1550.002 según MITRE ATT&CK).
– **TTPs observadas**:
– Uso de herramientas legítimas para la persistencia y evasión (Living-off-the-Land, T1218).
– Despliegue de Cobalt Strike para el control post-explotación y movimiento lateral.
– Automatización del cifrado mediante hilos concurrentes con priorización de archivos críticos y volúmenes compartidos en red.
– **Indicadores de Compromiso (IoC)**:
– Hashes de las muestras detectadas: múltiples variantes SHA256 documentadas en MalwareBazaar y VirusTotal.
– Dominios de C2 (Command & Control) con rotación DNS dinámica y uso de servicios de anonimización como TOR.
– Artefactos en disco con nomenclatura variable y presencia de dropper personalizado para cada plataforma.

### Impacto y Riesgos

El salto a entornos multiplataforma amplía de forma significativa la superficie de ataque, permitiendo a los actores maliciosos impactar infraestructuras mixtas y ecosistemas empresariales heterogéneos. El cifrado multihilo dificulta la contención en fases iniciales, ya que puede cifrar terabytes de datos en cuestión de minutos. Se estima, según datos de empresas afectadas, que el tiempo medio de cifrado completo en un servidor Windows con 16 núcleos se ha reducido hasta un 60% respecto a muestras convencionales.

El impacto económico asociado a estos incidentes se sitúa, de media, en torno a los 400.000 euros por evento, considerando rescates, interrupción operativa y costes de recuperación. Además, el incumplimiento de regulaciones como el RGPD o la inminente NIS2 puede incrementar notablemente las sanciones para las organizaciones afectadas.

### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo ante este tipo de amenazas, se recomienda:

– Actualización inmediata de sistemas y aplicaciones, priorizando la corrección de vulnerabilidades explotadas en campañas recientes (CVE-2023-28252, CVE-2024-21412).
– Implementación de MFA (autenticación multifactor) en accesos remotos y servicios críticos.
– Segmentación de red y limitación de privilegios en cuentas administrativas.
– Monitorización activa de procesos y creación de reglas específicas para detectar patrones de cifrado inusuales (picos de CPU, apertura masiva de archivos).
– Copias de seguridad offline y pruebas regulares de restauración.
– Formación continua del personal para identificar intentos de phishing y campañas de ingeniería social.

### Opinión de Expertos

Especialistas en respuesta a incidentes consultados por DarkReading subrayan que la adopción de técnicas multihilo y la portabilidad del código malicioso reflejan un avance significativo en la profesionalización de los grupos criminales emergentes. “El desarrollo multiplataforma permite a los atacantes escalar sus operaciones y sortear las clásicas barreras de segmentación tecnológica. La capacidad de cifrar volúmenes masivos de datos en minutos supone un reto sin precedentes para la detección temprana”, advierte Esther Ramos, analista senior de una firma del IBEX 35.

### Implicaciones para Empresas y Usuarios

La diversificación de los objetivos y el perfeccionamiento de los métodos de cifrado obligan a las organizaciones a replantear sus estrategias de defensa perimetral y de respuesta a incidentes. Las empresas deben asumir que la heterogeneidad de su infraestructura incrementa la exposición y que los controles tradicionales pueden resultar insuficientes. Los usuarios, por su parte, se ven expuestos a un esquema de doble extorsión, donde la amenaza de filtración de datos críticos se suma al cifrado de activos.

### Conclusiones

El auge de grupos cibercriminales con capacidad de atacar múltiples plataformas y de emplear cifrado multihilo marca un nuevo hito en la evolución del ransomware. La sofisticación de sus técnicas y la rapidez de ejecución exigen una respuesta proactiva y coordinada por parte de los equipos de seguridad, así como una revisión constante de las políticas y procedimientos internos. La adaptación tecnológica y la concienciación de los usuarios siguen siendo los pilares fundamentales para contener el impacto de estas amenazas emergentes.

(Fuente: www.darkreading.com)